En Braintive hacemos muchos experimentos y prototipos que sirven para proyectos reales, futuras soluciones a clientes o a veces sirven como ejemplo y aprendizaje.
Me gustaría dedicarle un post al Bluetooth, pero no sobre sus virtudes y funciones, sino sobre uno de sus defectos: la privacidad.
Según Wikipedia, ¿qué es Bluetooth?
Bluetooth es una especificación industrial para Redes Inalámbricas de Área Personal (WPANs) que posibilita la transmisión de voz y datos entre diferentes dispositivos mediante un enlace por radiofrecuencia en la banda ISM de los 2,4 GHz
Bajándolo a lenguaje que podamos entender todos, el bluetooth es una especie de protocolo estándar para que dos o más dispositivos se comuniquen sin cables entre sí.
Una de las particularidades del bluetooth es que utiliza una dirección única por dispositivo (mac address), permitiendo relacionar esta dirección a un dispositivo específico. De esta manera sabemos qué dispositivo es al cual nos estamos comunicando o transmitiendo datos. Por ejemplo si utilizamos un auricular bluetooth con nuestro teléfono, primero hay que realizar un pairing, esto significa enlazar los dos aparatos para que tengan autorización a comunicarse entre sí. Al realizar esta acción, nuestro teléfono sabrá la dirección única del auricular bluetooth al igual que su nombre, entonces la próxima vez que active el auricular bluetooth el teléfono lo reconocerá automáticamente y enviará el audio de los llamados al auricular sin necesidad de realizar la configuración nuevamente.
¿Pero cuál es el problema con la privacidad?
Hicimos un pequeño experimento utilizando sólo un dongle bluetooth en un servidor de desarrollo (con ubicación estratégica) y un script que verifica los dispositivos bluetooth que se encuentran en el rango (10 metros). Este script se encargaría de almacenar la dirección del dispositivo, su nombre y su hora de detección.
El fin de este experimento no era mostrar los problemas de privacidad del bluetooth, sino explorar las posibilidades tecnológicas del bluetooth dentro del marketing, las cuales son muchas y muy impresionantes.
El script quedó corriendo por dos semanas, y cuando decidimos analizar los datos almacenados en la base de datos vimos que el resultado fué fascinante, no sólo captamos una gran cantidad de movimiento, sino que sabíamos los horarios de entrada y salida de varios vehículos con bluetooth del edificio, descubrimos el nombre de algunos de nuestros vecinos y también sus horarios de entrada y salida.
Se preguntarán cómo sabemos que los dispositivos eran autos o vecinos. Cuando se le define un nombre personalizado al dispositivo, queda en evidencia información personal que es visible por cualquier otro dispositivo bluetooth.
Por ejemplo (datos ficticios):
- Dirección bluetooth: 00:1c:62:41:89:6c
- Nombre: Blue&Me (sistema bluetooth de autos marca Fiat)
- Dirección bluetooth: 00:1c:62:21:6a:48
- Nombre: Silvina
Si vemos que todos los días el dispositivo de Silvina entra en rango entre las 8am y a las 7pm (por poner un ejemplo), suponemos que esta persona trabaja de Lunes a Viernes entre las 8am y 7pm. De manera inversa, podríamos saber que Silvina no se encuentra en su casa en ese horario.
Con esta información, dejo que cada uno de ustedes imagine para qué puede utilizarse y si se animan los invito a poner sus ideas en los comentarios de este post.
Consejos al usar bluetooth
Activarlo sólo cuando debe utilizarse es incómodo ya que no sería práctico activar el bluetooth cuando recibimos un llamado telefónico y queremos utilizar nuestro auricular bluetooth, lo mismo si queremos utilizar el manos libres del auto. Por lo tanto el mejor consejo sería configurar el dispositivo como no visible. También evitar ponerle un nombre al dispositivo que sea un dato personal como nuestro nombre, apellido o apodo. Otro de los consejos que puedo darles es no dejar el nombre por defecto que trae el dispositivo, la mayoría de los teléfonos traen como nombre la marca y modelo del mismo por lo que en caso de que nuestro teléfono tenga un bug de seguridad, un atacante podrá reconocer fácilmente que nuestro teléfono es vulnerable.
Muy buenas infos !
Sigan así !
No nos olvidemos que ya por tener un celular con nosotros todo el tiempo, le estamos dando nuestra geoinformacion a las proveedoras de telefonía, las que también saben con quien hablamos, por cuanto tiempo y seguramente pueden saber de que hablamos también.
La gente que usa Iphone, también le esta dando su geo información a Apple: Apple Q&A on Location Data
Y finalmente (por ahora) tenemos que tener en cuenta que la geo localización es parte del estándar de HTML5, por lo que seguramente surgirán muchas mas vulnerabilidades al respecto.
Leo, con respecto a lo del Iphone:
5. Can Apple locate me based on my geo-tagged Wi-Fi hotspot and cell tower data?
No. This data is sent to Apple in an anonymous and encrypted form. Apple cannot identify the source of this data.
Puede creerse o no, yo lo creo
Tené en cuenta que el post habla de algo que puede hacer cualquiera, en cualquier lugar y no necesariamente corporaciones. Esto puede ser utilizado de muchas maneras (dañinas, comerciales o de bien).
Es importante que cada uno conozca (especialmente la gente que no está en el mundo de la tecnología) lo que sucede con su privacidad cuando usa un aparato tecnológico y que luego decida qué quiere hacer, a muchos les parecerá algo irrelevante, a otros algo catastrófico y que atenta contra su seguridad. ¿Vos de qué lado estás?
Con la última actualización del iOS Apple borro el historial y achico el cache para guardar la menor información posible….
Muy interesante.